绿盟科技威胁周报(20211213-20211219)

一、威胁通告

  • 微软12月安全更新多个产品高危漏洞通告(CVE-2021-43890、CVE-2021-43883、CVE-2021-43215)

【发布时间】2021-12-16 14:00:00 GMT

【概述】

12月15日,绿盟科技CERT监测到微软发布12月安全更新补丁,修复了67个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Microsoft PowerShell等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有7个,重要(Important)漏洞有60个,其中包括6个0day漏洞:Windows AppX Installer欺骗漏洞(CVE-2021-43890)NTFS Set Short Name权限提升漏洞(CVE-2021-43240)Windows Print Spooler权限提升漏洞(CVE-2021-41333)Windows Mobile Device Management权限提升漏洞(CVE-2021-43880)Windows Installer权限提升漏洞(CVE-2021-43883)Windows Encrypting File System (EFS) 权限提升漏洞(CVE-2021-43893)请相关用户尽快更新补丁进行防护,完整漏洞列表请参考附录。

【链接】https://nti.nsfocus.com/threatWarning

  • Windows Active Directory域服务权限提升漏洞通告(CVE-2021-42287、CVE-2021-42278)

【发布时间】2021-12-14 15:00:00 GMT

【概述】

12月13日,绿盟科技CERT监测发现有研究人员公开了Active Directory Domain Services权限提升漏洞(CVE-2021-42287、CVE-2021-42278)的 PoC。微软官方已在11月的安全更新发布了以上漏洞的修复补丁,请相关用户尽快采取措施进行防护。

【链接】https://nti.nsfocus.com/threatWarning

  • VMware 多个产品存在 Log4j2远程代码执行漏洞通告(CVE-2021-44228)

【发布时间】2021-12-14 13:00:00 GMT

【概述】

近日,绿盟科技CERT监测到VMware 发布安全通告,VMware的众多产品受Apache Log4j2远程代码执行漏洞(CVE-2021-44228)的影响。由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在受影响的 VMware 产品中执行任意代码。漏洞PoC已公开,且发现在野利用,建议相关用户尽快采取措施进行排查与防护。

【链接】https://nti.nsfocus.com/threatWarning

  • Apache Log4j2 远程代码执行漏洞处置手册(CVE-2021-44228)

【发布时间】2021-12-16 14:00:00 GMT

【概述】

12月9日,绿盟科技CERT监测到网上披露Apache Log4j远程代码执行漏洞(CVE-2021-44228),由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特别构造的数据请求包,可在目标服务器上执行任意代码。漏洞PoC已在网上公开,默认配置即可进行利用,该漏洞影响范围极广,建议相关用户尽快采取措施进行排查与防护。12月10日,绿盟科技CERT发现Apache Log4j 2.15.0-rc1 版本仅修复LDAP和增加了host白名单,非默认配置下可以被绕过利用;官方对此发布了Apache Log4j 2.15.0-rc2版本(与官网的2.15.0稳定版相同)进行修复,增加了对urI异常的处理。12月12日,官方又发布了Apache Log4j 2.15.1-rc1版本,直接禁用了JNDI功能,如果相关业务需要用到lookup功能,建议升级到此版本并手动将log4j2.formatMsgNoLookups默认设置为false。Apache Log4j2是一款开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中,用来记录日志信息。

【链接】https://nti.nsfocus.com/threatWarning

二、热点资讯

  • “Karakurt”网络犯罪团伙专注于数据盗窃和勒索

【概述】

研究人员详细介绍了一个名为 Karakurt 的复杂的出于经济动机的攻击者的活动。该团体的活动于 2021 年 6 月首次被发现,但该团体在 2021 年第三季度更加活跃。对与该攻击者相关的攻击链的分析表明,它主要利用 VPN 凭据来获得对目标网络的初始访问权限。在最初的攻击中,该组织通过使用流行的后开发工具 Cobalt Strike 获得了持久性。在最近的攻击中,该组织开启了 VPN IP 池或 AnyDesk 软件以建立持久性并避免检测。一旦获得对目标网络的访问权限,该组织就会使用各种工具来提升权限,包括 Mimikatz 或 PowerShell 来窃取包含 Active Directory 数据的ntds.dit,但是,大多数攻击中的威胁组会使用先前获得的凭据提升权限。对于数据泄露,该组织利用 7zip 和 WinZip 进行压缩,以及使用 Rclone 或 FileZilla (SFTP) 将数据上传到 Mega.io 云存储。

【参考链接】https://ti.nsfocus.com/security-news/IlN7O

  • 攻击者大规模攻击针对160万个WordPress网站

【概述】

研究人员发现,针对超过160 万个WordPress 站点的大规模攻击浪潮已经确定,他们报告了36 小时内超过 1370万次攻击,重点是利用四个不同的WordPress插件和几个Epsilon框架主题。 研究人员表示,攻击者的目标是四个单独的插件,其中包含未经身份验证的任意选项更新漏洞。

【参考链接】https://ti.nsfocus.com/security-news/IlN7S

  • 攻击者对使用二维码的德国银行客户发起网络钓鱼攻击

【概述】

最近发现的一项活动中使用的信息使用二维码来欺骗两家Geman 金融机构Sparkasse和Volksbanken Raiffeisenbanken的用户,并窃取数字银行信息。并表示网络钓鱼邮件经过精心制作,内容结构合理,并带有银行标志。威胁行为者使用不同的社会工程技巧来欺骗接收者,例如要求他们同意银行实施的数据政策更改或要求他们审查新的安全程序。然而,在最近的攻击中,骗子使用二维码而不是要求收件人扫描它们的按,。使用二维码使电子邮件过滤器难以将邮件标记为恶意邮件。

【参考链接】https://ti.nsfocus.com/security-news/IlN7P

  • “Seedworm”攻击者攻击亚洲和中东的电信公司

【概述】

研究人员表示,最新活动中的一次典型攻击始于攻击者破坏目标网络,然后试图窃取凭据以横向移动,以便可以将 webshell部署到Exchange服务器上。研究人员表示,最新活动中的一次典型攻击始于攻击者破坏目标网络,然后试图窃取凭据以横向移动,以便可以将 webshell部署到Exchange 服务器上。研究人员分解了8月开始的针对中东一家电信公司的特定攻击。研究人员说,在这种情况下,第一个妥协的证据是创建了一项服务来启动一个未知的 Windows 脚本文件 (WSF)。攻击者随后使用脚本发出各种域、用户发现和远程服务发现命令,并最终使用 PowerShell 下载和执行文件和脚本。研究人员还表示,攻击者还部署了一种远程访问工具,似乎可以查询其他组织的 Exchange 服务器。

【参考链接】https://ti.nsfocus.com/security-news/IlN8k

  • 攻击者利用TinyNuke 银行恶意软件针对法国组织发起攻击

【概述】

研究人员发现了一项专门针对在法国开展业务的法国实体和组织的活动,其中包含银行恶意软件TinyNuke。攻击者使用以发票为主题的诱饵针对制造、工业、技术、金融和其他垂直领域的实体。

【参考链接】https://ti.nsfocus.com/security-news/IlN8f

  • 攻击者利用Log4j漏洞组建botnet针对Linux设备发起攻击

【概述】

研究人员利用Anglerfish和Apacket蜜罐先后捕获到2波利用Log4j漏洞组建botnet的攻击,快速的样本分析表明它们分别用于组建Muhstik和Mirai botnet,针对的都是Linux设备。并表示新Muhstik变种增加了一个后门模块ldm,它具有增加SSH后门公钥的能力。

【参考链接】https://ti.nsfocus.com/security-news/IlN7Q

  • 攻击者利用Aclip后门攻击航空公司

【概述】

研究人员观察到对一家亚洲航空公司的攻击,他们评估该攻击很可能被国家资助的对手使用利用Slack的新后门入侵。攻击者利用Slack上的免费工作空间,这是一种合法的消息传递和协作应用程序,可能会混淆操作通信,从而使恶意流量或具有潜在恶意意图的流量被忽视。

【参考链接】https://ti.nsfocus.com/security-news/IlN8y

  • 攻击者利用Anubis特洛伊木马攻击银行客户

【概述】

研究人员表示新活动伪装成Orange Telecom帐户管理应用程序,以提供Anubis银行恶意软件的最新版本。大通银行、富国银行、美国银行和第一资本的客户以及近400家其他金融机构正成为伪装成法国电信公司Orange SA官方账户管理平台的恶意应用程序的目标。一旦下载,恶意软件(一种银行木马Anubis的变种)就会窃取用户的个人数据以将其盗取。

【参考链接】https://ti.nsfocus.com/security-news/IlN8x

  • 攻击者利用Agent Tesla新变种对韩国发起网络钓鱼攻击

【概述】

研究人员近期发现了针对韩国发起攻击的网络钓鱼攻击,邮件使用韩文书写并要求收件人打开附件中的 PowerPoint 文件以查看采购订单,该恶意PowerPoint 文件会传播 Agent Tesla 的新变种。Agent Tesla 是一个 .Net 编写的恶意软件,主要用于从失陷主机上窃取敏感信息,如剪贴板数据、键盘按键记录、软件凭据(浏览器、邮件、VPN、FTP、即时通信软件等)、屏幕截图等。

【参考链接】https://ti.nsfocus.com/security-news/IlN8V

  • 黑客使用恶意IIS服务器模块窃取Microsoft Exchange凭据

【概述】

研究人员发现攻击者正在Microsoft Exchange Outlook Web Access 服务器上部署一个以前未被发现的二进制文件,一个名为“ Owowa ”的 Internet 信息服务 ( IIS ) 网络服务器模块,目的是窃取凭据并启用远程命令执行。

【参考链接】https://ti.nsfocus.com/security-news/IlN8H

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment